Google發布了新的緊急更新 您的Google Chrome瀏覽器中, 新版本79.0.3945.130到來以解決三個漏洞 被分類為 批評,其中之一是針對 一個那個 Microsoft微軟 修復了潛在的危險錯誤,該錯誤可能使攻擊者假裝證書來自受信任的來源,從而欺騙證書。
自國家安全局(NSA)通知Microsoft此漏洞以來, 它會影響Windows 10,Windows Server 2016,Windows Server 2019和Windows Server版本1803,根據政府機構的報告。
關於已修復的錯誤
該缺陷影響了數字簽名的加密 用於認證內容,包括軟件或文件。 如果爆炸了 該缺陷可能允許 對有意向的人 發送帶有虛假簽名的惡意內容,使其顯得安全。
這就是原因 Google發布了更新 從Chrome 79.0.3945.130開始, 現在它將檢測嘗試利用此漏洞的證書 美國國家安全局(NSA)發現的CryptoAPI Windows CVE-2020-0601。
如前所述,該漏洞使攻擊者可以創建TLS和代碼簽名證書,從而冒充其他公司進行中間人攻擊或創建網絡釣魚站點。
利用CVE-2020-0601漏洞的PoC已經發布,發布者認為,攻擊者開始輕鬆創建偽造證書只是時間問題。
鉻79.0.3945.130的因此, 來進一步驗證網站證書的完整性 在授權訪問者訪問該網站之前。 Google的Ryan Sleevi在經過驗證的頻道上添加了用於雙重簽名驗證的代碼。
另一個問題 新版本已修復的批評者, 這是一次失敗,所有層面的失敗 瀏覽器安全繞過 在系統上運行代碼,超出安全和環境範圍。
有關關鍵漏洞(CVE-2020-6378)的詳細信息尚未披露,僅知道是由對語音識別組件中已釋放的內存塊的調用引起的。
解決了另一個漏洞 (CVE-2020-6379) 也與內存塊調用相關聯 已經在語音識別代碼中發布(免費使用)。
輕微的影響問題(CVE-2020-6380)是由錯誤檢查插件消息引起的。
最後,Sleevi承認這種控制措施並不完美,但是當用戶為他們的操作系統實施安全更新時,這已經足夠了,並且Google正朝著更好的驗證者前進。
這不是完美的,但是這種安全檢查就足夠了,現在是時候讓我們繼續使用另一個驗證程序或強制執行3P模塊的阻塞,甚至對於CAPI而言。
如果您想了解更多 關於為瀏覽器發布的新緊急更新,您可以查看詳細信息 在下面的鏈接中。
如何在Ubuntu及其衍生產品中更新Google Chrome?
為了將瀏覽器更新到新版本, 該過程可以以兩種不同的方式進行。
他們中的第一個 它只是從終端執行apt更新和apt升級(考慮到您已經安裝了瀏覽器,並將其存儲庫添加到系統中)。
因此,要執行此過程, 只需打開一個終端 (您可以使用快捷鍵Ctrl + Alt + T來完成此操作) 然後在其中鍵入以下命令:
sudo apt update sudo apt upgrade
終於另一種方法是如果您是通過deb軟件包安裝的瀏覽器 從瀏覽器的官方網站上下載的。
在這裡,您必須再次執行相同的過程,方法是從網站上下載.deb軟件包,然後通過dpkg軟件包管理器進行安裝。
儘管可以通過執行以下命令從終端完成此過程:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f